Voice-Phishing: Betrug mit der Telefonnummer des Apple-Supports

Das iPhone klingelt. Der eingehende Anruf zeigt die echte Nummer des Apple-Supports. Auf dem Display des iPhones steht Apple Inc. und das Apple-Logo ist zu sehen. Doch die Stimme am anderen Ende stammt nicht von Apple, sondern versucht, mittels Voice-Phishing an persönliche Daten des Angerufenen zu kommen. Der IT-Security-Journalist Brian Krebs berichtet auf seinem Blog über den Fall.

Der beschriebene Anruf ereignete sich am 2. Januar 2019. Der vermeintliche Apple-Support meldet sich bei Jody Westby, die als CEO bei einem Beratungsunternehmen für IT-Sicherheit arbeitet. Eine Computerstimme am anderen Ende erklärte ihr, dass es ein Datenleck bei Apple gegeben habe und einige Apple-IDs kompromitiert worden seien, darunter ihre.

In Westbys Adressbuch ist die Support-Telefonnummer unter Apple Inc. mitsamt Logo hinterlegt. Da die Betrüger die Nummer des Apple-Supports fälschen, wird ihr der Anruf mit Logo und dem Namen Apple Inc. angezeigt. In der Gesprächshistorie stehen die gefälschten Apple-Support-Anrufe zwischen den echten - und lassen sich nicht unterscheiden.

Die Computerstimme am anderen Ende sagt ihr eine Telefonnummer an, unter der sie sich melden solle. Die angesagte Telefonnummer hat ebenso wenig mit dem Apple-Support zu tun wie der Anruf selbst. Vielmehr versuchen die Betrüger, ihren Opfern als vermeintlicher Apple-Support Daten zu entlocken. Durch den initialen Anruf unter der echten Telefonnummer des Apple-Supports dürfte die Betrugsmasche bei vielen authentisch wirken. Dass auf derlei gut gemachte Anrufe durchaus auch IT-Experten hereinfallen, zeigen mehrere Betrugsfälle, bei denen die Telefonnummern der Banken der Opfer gefälscht wurden.

Lieber selbst anrufen

Auch wenn die anrufende Telefonnummer mit der Nummer der Bank, des Apple-Supports oder einer anderen Firma übereinstimmt, sollten am Telefon keine Daten angegeben werden. Fragt ein Anrufer Daten ab, ist die sicherste Variante, das Gespräch abzubrechen und selbst bei der entsprechenden Firma anzurufen. Am besten man greift dabei auf die Nummer in seinem Adressbuch, auf einer Visitenkarte oder in seinen Unterlagen zurück, denn auch eine Internetrecherche kann zur falschen Nummer führen: Betrüger versuchten mit gefälschten Webseiten und Telefonnummern möglichst weit oben in den Suchergebnissen zu landen, warnt Krebs.

Auch in Deutschland gibt es viele Fälle unlauterer Telefonwerbung, bei welcher sich Betrüger als Mitarbeiter von Firmen oder Behörden ausgeben, um Betroffene zu einem Tarif- oder Vertragswechsel beispielsweise hin zu einem anderen Energieversorger zu animieren. Die Bundesnetzagentur hatte im Dezember gegen zwei Callcenter ein Bußgeld von 300.000 Euro verhängt.